イーサリアムL2のタイコ(Taiko)は22日、チェーン状態検証機構(chain state verification mechanism)が侵害されたことを公式Xアカウントで発表した。同プロジェクトは「Taikoに展開されたすべてのブリッジのセキュリティ前提は、もはや信頼できない」と表明し、ユーザーに対してすべてのブリッジから資金を即時引き出すよう緊急勧告した。
ブロックチェーンセキュリティ企業Blockaidは、攻撃の根本原因がTaikoブリッジのソース・シグナル・プルーフ検証機構の欠陥にあると分析している。
Blockaidによれば、「イーサリアムL1上で、Taikoのソースチェーンに対応する正規のMessageSentイベントが存在しないにもかかわらず、細工されたメッセージプルーフが有効として受理された」という。
これにより攻撃者は不正なブリッジメッセージを登録・実行し、ERC20ボールトから資産を無断で引き出すことが可能になった。
被害額についてBlockaidは当初100万ドル超と報告、その後オンチェーン分析企業PeckShieldは約170万ドルと推計した。
Taikoは攻撃に使われたウォレットアドレスを開示し、取引所および調査機関に対してトラッキングと資産凍結への協力を求めた。また中央集権型取引所(CEX)に対し、公式通知があるまでTAIKOトークンの入金受け付けを即時停止するよう要請した。
PeckShieldによれば、攻撃者はすでに199万TAIKOをMEXCに移送している。
Taikoはその後、ブリッジおよびボールトの一時停止と全プロポーザーによるブロック生成の停止を発表。「ブリッジはインバウンド・アウトバウンドともにオフライン状態にある。ブリッジ操作は試みないよう」と注意を呼びかけた。ペンディング中のトランザクションは消失ではなく一時停止の状態だとしている。
Taikoは「事態は収束した(contained)」と公式に表明しており、詳細については追って情報を公開するとしている。
